Victor CMS версии 1.0 содержит уязвимость SQL-инъекции в параметре post в post.php, которая позволяет удаленным злоумышленникам манипулировать запросами к базе данных. Злоумышленники могут воспользоваться этой уязвимостью, отправив специально созданные полезные данные UNION SELECT для извлечения информации из базы данных с помощью методов внедрения логических значений, ошибок и времени.
Показать оригинальное описание (английский)
Victor CMS version 1.0 contains a SQL injection vulnerability in the 'post' parameter on post.php that allows remote attackers to manipulate database queries. Attackers can exploit this vulnerability by sending crafted UNION SELECT payloads to extract database information through boolean-based, error-based, and time-based injection techniques.
Матрица атаки
Вектор атаки
По сети
Атака по сети
Сложность атаки
Низкая
Легко эксплуатировать
Требуемые привилегии
Не требуются
Права не нужны
Взаимодействие с пользователем
Не требуется
Не нужно действие пользователя
СТРОКА CVSS ВЕКТОРА
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:L/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X